Desenvolvedores de plugins e temas para WordPress.org foram informados de que serão obrigados a habilitar a autenticação de dois fatores (2FA) a partir de 1º de outubro.
A medida tem como objetivo aumentar a segurança, ajudando a evitar que hackers acessem contas através das quais códigos maliciosos poderiam ser injetados nos códigos usados por milhões de sites que executam a versão auto-hospedada do WordPress.
A ameaça representada por ataques de cadeia de suprimentos contra plugins e temas de terceiros do WordPress.org é considerável, uma vez que aproximadamente 40% dos sites do mundo estão usando a edição de código aberto da plataforma WordPress como seu sistema de gerenciamento de conteúdo.
Uma das coisas que tornaram o WordPress uma plataforma tão popular para sites é sua configurabilidade e customização – através de complementos (conhecidos como plugins) e temas.
No entanto, a popularidade do WordPress entre os desenvolvedores da web também tornou a plataforma um alvo para ataques. Se a conta de um desenvolvedor for comprometida com sucesso, uma atualização maliciosa pode ser enviada para inúmeros sites – o que poderia levar a hackers maliciosos inserindo backdoors para obter acesso remoto aos sistemas, assumir o controle de contas de administração, roubar informações, espalhar spam, ou injetar malware ou criptominadores em páginas da web.
O problema é agravado pelo fato de que a grande maioria dos administradores de sites é altamente improvável de verificar as atualizações de plugins e temas de terceiros do WordPress em busca de código malicioso, considerando-os como sendo de uma fonte confiável. De fato, muitos sites terão escolhido implementar automaticamente as atualizações sem qualquer interação manual.
“Contas com acesso de commit podem enviar atualizações e mudanças para plugins e temas usados por milhões de sites WordPress em todo o mundo”, disse o WordPress.org em um post em blog anunciando a introdução obrigatória da 2FA para desenvolvedores de plugins e temas. “Proteger essas contas é essencial para evitar acesso não autorizado e manter a segurança e confiança da comunidade do WordPress.org.”
Reconhecendo a ameaça, o WordPress.org tem incentivado ativamente os autores de plugins e temas a habilitar a 2FA em suas contas. Existem opções para adotar a 2FA através de um aplicativo de autenticação ou via chave de hardware.
Uma vez habilitada, a 2FA significa que um hacker precisará de mais do que apenas um nome de usuário e senha para fazer login em uma conta. Eles precisariam de um “fator” adicional (como uma chave ou um código único gerado por um aplicativo em seu smartphone) para obter acesso.
A autenticação de vários fatores não torna impossível invadir contas. Mas o que faz é tornar muito mais difícil comprometer contas, o que significa que um hacker precisará investir muito mais esforço se quiser ter alguma chance de ser bem-sucedido.
Senhas sozinhas não são suficientes para proteger as contas online de ninguém. Adicione outra camada de proteção a todas as suas contas online que permitam, habilitando a autenticação de dois fatores.
